据观察,威胁行为者一直在利用谷歌标签管理器(Google Tag Manager,简称 GTM)向基于 Magento 的电子商务网站投放信用卡信息窃取恶意软件。
网站安全公司 Sucuri 表示,该代码看似是用于网站分析和广告目的的典型 GTM 及谷歌分析脚本,但其中包含一个经过混淆处理的后门,攻击者可借此获得持续访问权限。
截至撰写本文时,发现多达三个网站感染了所涉的 GTM 标识符(GTM – MLHK2N68),较 Sucuri 最初报告的六个有所减少。GTM 标识符指的是一个容器,其中包含各种跟踪代码(如谷歌分析、Facebook 像素代码)以及在满足特定条件时触发的规则。
进一步分析显示,该恶意软件从 Magento 数据库表 “cms_block.content” 加载,GTM 标签包含一段经过编码的 JavaScript 有效载荷,充当信用卡信息窃取器。
安全研究员普佳・斯里瓦斯塔瓦(Puja Srivastava)称:“此脚本旨在收集用户在结账过程中输入的敏感数据,并将其发送到攻击者控制的远程服务器。”
该恶意软件一旦执行,就会从结账页面窃取信用卡信息,并将其发送到外部服务器。
这并非 GTM 首次被用于恶意目的。2018 年 4 月,Sucuri 披露该工具被用于恶意广告活动,旨在通过弹出窗口和重定向为运营者创收。
就在此次事件曝光的几周前,该公司还详细披露了另一起针对 WordPress 的攻击活动,攻击者可能利用插件漏洞或入侵的管理员账户安装恶意软件,将网站访问者重定向到恶意网址。
上周,美国司法部(DoJ)还宣布对两名罗马尼亚人安德烈・法加拉斯(Andrei Fagaras)和塔马斯・科洛兹瓦里(Tamas Kolozsvari)提出指控,他们涉嫌参与支付卡信息窃取活动。
他们因在路易斯安那州东区三个不同地点持有信息窃取设备,被指控三项访问设备欺诈罪。
如果罪名成立,他们每项罪名都将面临最高 15 年监禁、最高三年的监督释放、最高 25 万美元的罚款,以及 100 美元的强制特别评估费。
发表评论
您还未登录,请先登录。
登录